strona główna » newsy

Elektroniczna Rejestracja Kandydatów UJ

Pt, 2009-07-24 15:41 by VaGla
»

Uczelnie wyższe mogą mieć kłopot z bezpieczeństwem chronionych ustawowo danych osobowych. Ponoć w systemie Elektronicznej Rejestracji Kandydatów Uniwersytetu Jagielońskiego wykryto lukę, która pozwalała na dotarcie do gromadzonych online danych kandydatów na studia. Dane te, to nazwisko, adres, NIP, nr i seria dowodu, nr polskiego rachunku bankowego, data wystawienia świadectwa dojrzałości... Luka została już zabezpieczona.

Na stronie ERK UJ zachęca się kandydatów do dokonywania elektronicznej rejestracji słowami: "Wszystkich Kandydatów zachęcamy do dokonania rejestracji kandydatury na studia w Uniwersytecie Jagiellońskim. Przed rozpoczęciem procedury rejestracyjnej na­le­ży za­po­znać się z informacjami zamieszczonymi na stronach systemu ERK oraz na stro­nie www.rekrutacja.uj.edu.pl". OK. Kandydatów należy również zachęcić do przeczytania tekstu Niebezpieczna luka w systemie rejestracji na UJ, który opublikował Onet.pl. Tam też można przeczytać:

O błędzie na stronie www.erk.uj.edu.pl poinformował nas jeden ze studentów, którzy w tym roku rejestrowali się na UJ. – Zakładasz dowolne konto, logujesz się i możesz przeszukiwać bazę danych kandydatów. Wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu – mówi Tomasz...

Uniwersytet Jagieloński przeprosił i zapewnił, że dołoży starań, etc., itp...

« Prokurator interweniuje, bo organizacja zbiorowego zarządzania prawami autorskimi nie wypłacała twórcom kasy | Udostępnianie informacji publicznych: MSWiA zapłaci 10 tys za proceduralne błędy »

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Przecież to przestępstwo

Pt, 2009-07-24 18:48 by adammada

Po nowelizacji Kodeksu Karnego to przestępstwo. Uzyskali dostęp do informacji nie przeznaczonych dla nich, nie trzeba wnikać czy omijali przy tym zabezpieczenia.

Chyba Policja powinna wkroczyć do Onetu i zabezpieczyć komputery...

UKW Bydgoszcz

N, 2009-07-26 09:59 by incognitus (niezweryfikowany)

To nie jest odosobniony przypadek. W systemie IRK Uniwersytetu Kazimierza Wielkiego w Bydgoszczy był (jest?) błąd typu SQL Injection. Można było wykonać dowolne zapytanie (również zmianę/usunięcie) na bazie, która zawierała prócz danych osobowych również wyniki matur kandydatów na studia.

No ale za to oprogramowanie bylo tanie...

Pn, 2009-07-27 07:23 by kazek (niezweryfikowany)

Przeciez to sie tak naprawde liczy -nie? Żeby było tanio. Acha: żebyście nie mieli wątpliwości - takie HP, czy IBM zrobiłoby to znacznie drożej ale wcale nie lepiej...oni tezby robili żeby bylo taniej - dla nich...

"Uczelnie" = UJ ?

Pn, 2009-07-27 09:17 by raj

Dlaczego piszesz "uczelnie mogą mieć problemy z bezpieczeństwem danych" skoro na razie dziurę wykryto tylko w systemie rekrutacyjnym jednej konkretnej uczelni?
Swoją drogą ciekawy ten opis dziury - "wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu". Po co w systemie rekrutacyjnym, w części dostępnej dla kandydatów, jakakolwiek wyszukiwarka? Kandydat powinien mieć dostęp tylko i wyłącznie do swoich danych i tyle. Co tu wyszukiwać?

Podejrzewam, że raczej

Pn, 2009-07-27 10:16 by Zefiryn (niezweryfikowany)

Podejrzewam, że raczej chodziło o pasek adresu przeglądarki. Po zalogowaniu, na końcu adresu było coś w stylu &id=123. Zmieniając numerek id, mogłeś zobaczyć dane osoby zapisane pod konkretnym rekordem, a system nie sprawdzał, czy zalogowana osoba ma uprawnienia do oglądnięcia tych danych. Na stronie nie było żadnego linku, który prowadziłby do pokazania danych osób zapisanych w bazie, ale poprzez adres było to dziecinnie łatwe.

To wygląda rozsądnie

Pn, 2009-07-27 13:06 by raj

bo faktycznie, może być tak że część wykorzystywana przez kandydatów i część wykorzystywana przez komisje rekrutacyjne korzystają ze wspólnych modułów i wtedy komisja potrzebuje tego "id=...". W systemie rekrutacyjnym, który ja pisałem pięc lat temu (http://rekrutacja.up.krakow.pl/) zrobiłem tak, że jeżeli zalogowany użytkownik należy do klasy "kandydat", to parametr "id" jest zawsze ignorowany i nadpisywany loginem użytkownika (login kandydata jest identyczny z numerem, pod którym się zarejestrował).

A z umieszczaniem różnych "śmiesznych" parametrów w URL-u kojarzy mi sie potężna wpadka, jaką pare lat temu widziałem w Biuletynie Zamówień Publicznych. Otóz po zalogowaniu sie do systemu osoby uprawnionej do zamieszczenia ogłoszenia na końcu URL-a dopisywane były parametry zawierające jawnym tekstem login i hasło! I na tym opierała sie autoryzacja użytkownika. Wystarczyło tylko np. zapamietać sobie taki link w zakładkach przegladarki i wysłac komuś, żeby ten ktoś mógł operować na biuletynie w naszym imieniu... ;)

Napisałem "uczelnie"

Pn, 2009-07-27 11:05 by VaGla
VaGla's picture

Napisałem "uczelnie", gdyż uczelnie rekrutują, a wszędzie gdzie uczelnie rekrutują i gromadzą dane "przez internet" może być ten sam problem.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Dodaj nowy komentarz

Zawartość tego pola nie będzie publicznie dostępna.
  • Dopuszczalne tagi HTML: <a> <em> <del> <ins> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Rozpoczynanie akapitów i łamanie wierszy następuje automatycznie.
  • Użyj [# ...] by dodać automatycznie numerowany przypis dolny (footnotes).

Więcej informacji na temat opcji formatowania

CAPTCHA
Niestety spamerzy atakują, dlatego muszę się bronić.
1 + 9 =
Rozwiąż to proste zadanie matematyczne. Dla przykładu: 1+3 daje 4.